KI-Anwendungen wie ChatGPT, Midjourney und Co., die riesige, reale Datenmengen verarbeiten, sind in aller Munde. Doch dürfen zum Training der KI beliebige Daten aus dem Internet genutzt werden? Welche Schutzrechte greifen hier? Wem gehören die von der KI generierten Daten?

Die Autorinnen und Autoren der Studie "Systematic Privacy in real-life Data Processing Systems" am Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE kommen diesbezüglich zu einem ernüchternden Ergebnis: Der aktuelle Rechtsrahmen reicht für eine sichere Verarbeitung von Big Data und KI nicht aus.

Risiko Persönlichkeitsrechte

Vielmehr, so die Forscher, berge die Verarbeitung dieser großen Datensätze erhebliche Risiken für Wirtschaft und Gesellschaft, etwa durch die Verletzung von Persönlichkeitsrechten. Dazu untersuchten die Autoren geltende Vorschriften aus den Rechtsbereichen Datenschutz, IT-Sicherheitsrecht und Urheberrecht in Bezug auf Big Data. Ebenso betrachteten sie den Entwurf über eine EU-Verordnung zur Künstliche Intelligenz (KI-VO-E).

Ein grundlegendes Problem sieht die Studie dabei in der Anonymisierung von personenbezogenen Daten, um sie verarbeiten zu können. Ab wann sind (ehemals) personenbezogene Daten verlässlich und rechtssicher anonymisiert? Hier gebe das geltende Recht - auch die DSGVO - keine abschließende Antwort. Eine mögliche Lösung wäre für die Studienautoren, einen Grad der Anonymisierung durch ein einheitliches Verfahren zu berechnen und einen Schwellenwert für die legale Nutzung anzusetzen.

Drängendes Problem

Wie dringend eine Lösung dieses Problems ist, verdeutlichen die Forscher an einigen Praxisbeispielen. So lassen sich im Katastrophenschutz Personen über Big-Data-Analysen von Handydaten schneller finden und evakuieren.

In Schulen wiederum ermöglichen es Big-Data-Analysen, Stärken und Schwächen von einzelnen Schülerinnen und Schülern zu erfassen und daraus individuelle Lernprogramme zu entwickeln. Ein weiteres Einsatzfeld für die staatliche Nutzung von Big-Data-Analysen sei etwa der Arbeitsmarkt: So werden in Österreich und Polen die Arbeitsmarktchancen arbeitsloser Personen errechnet und kategorisiert.

Rechtlich auf wackeligen Beinen

Alle diese Anwendungen stünden aber rechtlich auf wackeligen Beinen. In den Augen der Forscher ist deshalb ein ganzheitlicher Ansatz vonnöten. Dieser sollte übergreifend verschiedene Rechtsgebiete berücksichtigen, um einerseits Bürgerinnen und Bürger zu schützen, andererseits Unternehmen wie Herstellern Rechtssicherheit zu geben. So könne die Nutzung neuer Technologien unter Berücksichtigung von Datenschutz und IT-Sicherheit ermöglicht werden.

Die Studie entstand im Rahmen eines ATHENE-Projekts. ATHENE ist eine Forschungseinrichtung der Fraunhofer-Gesellschaft mit ihren beiden Instituten Fraunhofer SIT und IGD unter Beteiligung der TU Darmstadt, der Goethe-Universität Frankfurt und der Hochschule Darmstadt für IT-Sicherheit und Privatsphärenschutz in Europa.

Die vollständige Studie kann kostenlos unter https://www.athene-center.de/forschung/leap-studienheruntergeladen werden.